L’installatore oggi non è più un operatore che monta le telecamere, ma un consulente a 360 gradi cui sono richieste competenze tecniche e giuridiche per realizzare impianti conformi al regolamento GDPR. Ecco a cosa fare attenzione.
L’installazione di un impianto di videosorveglianza ormai non è più solo un’operazione tecnica, ma richiede molteplici adempimenti legati al trattamento dei dati personali e alle diverse situazioni in cui a essere ripresi sono comuni cittadini o anche lavoratori dipendenti.
Il ruolo dell’installatore è ormai molto lontano da quello di un semplice operatore in grado di posizionare le telecamere ed eseguire correttamente i collegamenti e le configurazioni necessarie per il trasferimento e la registrazione dei dati; questa figura professionale, infatti, riveste (o dovrebbe rivestire) il ruolo di consulente a 360 gradi, essendo le sue competenze e la corretta esecuzione dei lavori indispensabili per il rispetto delle prescrizioni del GDPR.
Un installatore deve oggi avere competenze tecniche e giuridiche che sempre più raramente sono rinvenibili nella stessa persona fisica o in un piccolo gruppo di tecnici, mentre appaiono sempre più strutturate e multidisciplinari le imprese che si occupano della progettazione, installazione e collaudo dei sistemi di sicurezza, supportando i clienti anche nelle successive fasi della richiesta di autorizzazioni alle autorità competenti e di manutenzione e gestione degli impianti in qualità di responsabili esterni dei trattamenti operati dal titolare.
Da tutto questo deriva la necessità di una profonda conoscenza degli aspetti tecnici, ma anche e soprattutto della normativa posta a tutela dei dati personali e dei provvedimenti dell’autorità Garante per la privacy. Diverse sono le ipotesi nelle quali un installatore può venirsi a trovare - e deve conseguentemente organizzarsi - per realizzare un impianto giuridicamente compliant, oltre che correttamente funzionante e tecnicamente sicuro.
Perfino la cifratura dei dati in transito e a riposo, infatti, dev’essere garantita dall’installatore, al quale potrebbero essere richieste evidenze delle misure di sicurezza implementate nel sistema da parte degli auditor incaricati dal titolare di verificare la conformità normativa dell’impianto o da parte delle autorità addette ai controlli.
Impianto in abitazione privata
Quando l’installazione riguarda un’abitazione privata, il titolare del trattamento è tecnicamente il proprietario di casa, che può fare delle riprese un uso personale e domestico e sottrarsi, in tal modo, alle prescrizioni del GDPR. La situazione, tuttavia, non è sempre così lineare, perché non è detto che, anche all’interno di un’abitazione privata, l’installazione pensata per tutelare il patrimonio del proprietario e la sicurezza dei suoi familiari non vada a coinvolgere interessi di terzi.
Un caso di cui tenere conto è sicuramente quello di colf e badanti che, in quanto dipendenti del proprietario, rientrano pienamente nel concetto di lavoratore dipendente nei confronti del quale devono essere adottate le cautele di cui all’art. 4 della L. 300/1970. Al tempo stesso, i visitatori della casa, siano essi amici, conoscenti o parenti, hanno diritto di essere informati, seppure sommariamente, della presenza delle telecamere e della registrazione in corso, poiché potrebbero - nel rispetto del principio di autodeterminazione - decidere di non frequentare l’abitazione o di astenersi da comportamenti che, per quanto familiari, potrebbero essere poi fonte di imbarazzo se venissero registrati e riprodotti.
Anche le finalità del trattamento vincolano fortemente l’uso che il privato può fare delle immagini, poiché l’accesso è ammesso solo per la tutela del patrimonio e dell’incolumità delle persone, dovendosi escludere, per esempio, qualsiasi divulgazione tramite social o altri strumenti di comunicazione, incluso Whatsapp. Infine, c’è la situazione in cui le telecamere potrebbero inquadrare parti comuni del condominio o le strade circostanti al fine di proteggere il perimetro dell’abitazione. Anche questi usi sono leciti, ma devono essere adeguatamente valutati, soprattutto per evitare che il trattamento dei dati sia considerato eccessivo o non strettamente necessario rispetto alle finalità dichiarate.
In sostanza, sarebbero da evitare l’acquisto e l’installazione in autonomia di telecamere online, anche nell’ipotesi di un impianto casalingo. Per operare correttamente, il proprietario dell’immobile dovrebbe conoscere almeno il provvedimento generale dell’autorità Garante dell’8 aprile 2010 (sui principi di proporzionalità e minimizzazione del trattamento) e saper redigere un’informativa con l’indicazione delle finalità e dei termini di conservazione, oltre a tutti gli altri elementi previsti dall’art. 13 del GDPR. Utili anche le linee guida del Comitato Europeo per la protezione dei dati personali, pubblicate a luglio 2019 e recanti numerosi esempi di come disciplinare correttamente il trattamento.
Impianto in condominio
Il condominio, tramite l’amministratore, può installare un impianto di videosorveglianza per monitorare le parti comuni dell’edificio (corte esterna e perimetro esterno, parcheggio o garage, corridoi, pianerottoli e ascensori ecc.) al fine di prevenire atti di vandalismo, furti o aggressioni: si tratta di una situazione in cui, chiaramente, viene effettuato un trattamento di dati personali nei confronti dei condomini, dei loro familiari e amici, di semplici visitatori e passanti. Deve quindi essere rispettato il GDPR.
Innanzitutto, l’installazione dell’impianto non può essere una libera iniziativa dell’amministratore, ma deve necessariamente essere espressione della volontà dell’assemblea condominiale, per il tramite di delibera assunta ai sensi dell’art. 1122-ter c.c. con maggioranza qualificata. I cartelli devono essere - come di consueto - conformi alle prescrizioni dell’autorità Garante per la protezione dei dati personali e ai modelli del Comitato Europeo per la protezione dei dati contenuti nelle linee guida n. 3 del mese di luglio 2019: devono riportare i dati essenziali e di contatto del titolare, quelli dell’eventuale DPO, le finalità perseguite e i diritti dell’interessato, oltre a indicare dove poter trovare l’informativa completa conforme all’art. 13 del GDPR.
Il trattamento va censito nel Registro dei trattamenti, se istituito, o nel modello organizzativo; sarebbe inoltre opportuno sviluppare una valutazione d’impatto ai sensi dell’art. 35 del GDPR per escludere, sulla base dei rischi e delle contromisure individuati, la necessità di una consultazione preventiva dell’autorità Garante. Sarebbe opportuno non gestire direttamente l’impianto, ma affidarlo allo stesso installatore o a un manutentore - da nominare responsabile esterno del trattamento ai sensi dell’art. 28 del GDPR - sollevando in tal modo il condominio dalle responsabilità connesse alla gestione materiale delle immagini.
Anche in queste situazioni l’installatore dovrebbe conoscere, almeno sommariamente, i provvedimenti dell’autorità Garante in materia condominiale e di videosorveglianza, oltre alla disciplina generale della materia. In particolare, risultano di interesse il provvedimento del 18 maggio 2006, riguardante la disciplina della videosorveglianza condominiale, l’obbligo di delibera e le modalità di redazione dell’informativa, e il provvedimento del 22 dicembre 2022, con il quale è stata inflitta una sanzione a un condominio per diffusione indebita di immagini in assemblea.
Impianto in azienda
La situazione più comune che l’installatore si trova ad affrontare è solitamente quella dell’azienda che ha necessità di monitorare il perimetro dello stabilimento, le aree di carico/scarico, i locali di vendita, i corridoi e le zone a rischio infortunio. Il trattamento è pienamente rientrante nei criteri del GDPR, ma intervengono altre norme da coordinare con le prescrizioni del Regolamento.
In primis, la sicurezza sul lavoro e la tutela del lavoratore dagli infortuni: se le telecamere devono garantire la sicurezza dei lavoratori dai rischi connessi alle attività da svolgere in determinate aree, l’installazione delle telecamere è giustificata anche da tale finalità e il trattamento deve garantire anche il perseguimento degli obiettivi della safety, oltre che della security.
Si consiglia, anche in questo caso, la valutazione d’impatto per dettagliare al meglio le finalità del trattamento, il rispetto del principio di minimizzazione e l’adozione delle misure di sicurezza che rendono superflua la consultazione preventiva dell’autorità Garante.
Se non è presente una rappresentanza aziendale, occorre anche depositare il progetto dell’impianto, corredato da una relazione con le caratteristiche tecniche delle telecamere e del DVR e i tempi di conservazione delle immagini, presso l’Ispettorato Territoriale del Lavoro. È necessario, infatti, questo iter per ottenere l’autorizzazione che consente di operare in sostituzione dell’accordo sindacale, come previsto dall’art. 4 della L. 300/1970. L’informativa, sia nella forma semplificata del cartello sia in forma estesa conforme alle indicazioni dell'art. 13, dev’essere rivolta a tutte le categorie interessate e resa disponibile con gli ordinari canali di comunicazione.
Il trattamento dev’essere censito nell’apposito Registro, se istituito, o nel Modello Organizzativo Privacy, specificando anche in tali documenti i tempi di conservazione delle immagini, le misure di sicurezza adottate e l’acquisizione dell’accordo sindacale o dell’autorizzazione dell’Ispettorato. La conservazione delle immagini delle riprese dovrebbe essere limitata a 24 ore, salvo adeguata giustificazione dei tempi più lunghi a causa di particolari esigenze organizzative o di sicurezza; bisogna sempre tenere presente che le giustificazioni devono avere una motivazione logica e ragionevole, nel rispetto del principio di proporzionalità del trattamento.
Inoltre, la videosorveglianza viene considerata un trattamento particolarmente invasivo, soprattutto in presenza di lavoratori dipendenti, per cui è sempre opportuno indicare, nella relazione come nella valutazione d’impatto, le ragioni per cui non è possibile adottare sistemi di tutela, di controllo o di sicurezza alternativi.
Tra le misure tecniche da applicare, è opportuno prevedere credenziali distinte di accesso per i vari soggetti autorizzati e un contratto di nomina del responsabile esterno del trattamento, conforme all’art. 28 del GDPR, se l’impianto viene affidato a un installatore o manutentore esterno all’organizzazione.
Possono risultare utili alla valutazione della situazione concreta alcuni provvedimenti del Garante del 2018, relativi alla durata eccessiva della conservazione delle immagini da parte di un operatore postale, o del 2019, riguardanti l’assenza di informativa e di accordi sindacali per le installazioni di una catena di supermercati.
Impianto su pubblica via
Del tutto diverse sono le motivazioni che inducono le pubbliche amministrazioni all’installazione e utilizzo di un impianto di videosorveglianza. Risulta inutilizzabile il criterio del legittimo interesse, dato che una pubblica amministrazione non può effettuare trattamenti che non rientrino nelle proprie funzioni istituzionali. Ne consegue che per una corretta valutazione della situazione si dovrà sempre far riferimento alla tipologia di amministrazione: la questura può utilizzare un sistema di videosorveglianza per ragioni di ordine pubblico e pubblica sicurezza, mentre il Comune dovrà limitarsi al controllo del traffico e delle aree urbane.
Prima di procedere all’installazione di una qualsiasi telecamera, il Comune dovrà adottare un atto formale dell’ente (delibera di giunta) specificando la finalità e la base giuridica del trattamento, oltre che i termini di conservazione delle immagini. La redazione dell’informativa e la valutazione delle misure di sicurezza potranno essere demandate a successive determinazioni del dirigente incaricato di procedere alla realizzazione del progetto.
La valutazione d’impatto, in questi casi, è obbligatoria e dovrà adeguatamente motivare l’eventuale mancanza di consultazione preventiva dell’autorità Garante, che è sempre consigliabile quando si parla di sistemi di monitoraggio su larga scala quali i sistemi di videosorveglianza in ambito urbano. Nell’ipotesi di utilizzo di software di analisi comportamentale per individuare condotte illecite, si dovrà sempre specificare in modo analitico la finalità perseguita e la funzione istituzionale che giustifica il singolo trattamento, senza dimenticare che il trasferimento di finalità non è consentito e rende inutilizzabile qualsiasi registrazione, salvo che non si sconfini nella rilevanza penale del fatto.
Altrettanto necessaria l’individuazione del trattamento nel Registro o nel Modello Organizzativo Privacy, con i tempi di conservazione (che per la pubblica amministrazione sono solitamente di 7 giorni, salvo diversa determinazione e giustificazione) e la designazione del responsabile della protezione dei dati.
Se l’impianto è affidato all’esterno dell’ente e non rientra tra le attribuzioni del dipartimento IT, dovrà essere sottoscritto un accordo di data protection conforme all’art. 28, analogamente a quanto avviene nel privato. Tra i provvedimenti utili a definire meglio le modalità di installazione e gestione di un impianto pubblico risultano utili l’onnipresente provvedimento generale del 2010, che ha al suo interno una parte dedicata alla pubblica amministrazione, le linee guida per gli enti locali, sempre del 2010, e i numerosi provvedimenti irrogati a carico di diversi Comuni e pubbliche amministrazioni, dal 2018 a oggi, per la realizzazione o l’uso di impianti di videosorveglianza non conformi al GDPR.
RESPONSABILE DELLA PROTEZIONE D EI DATI
Ha i seguenti compiti:
- SORVEGLIARE l’osservanza del Regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
- COLLABORARE con il titolare/ responsabile del trattamento, laddove necessario, nel condurre una valutazione d’impatto sulla protezione dei dati (DPIA);
- INFORMARE e SENSIBILIZZARE il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal Regolamento e da altre disposizioni in materia di protezione dei dati;
- COOPERARE con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento;
- SUPPORTARE il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento.
È un documento contenente le principali INFORMAZIONI (specificatamente individuate dall’art. 30 del GDPR) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento. Si tratta di uno strumento fondamentale allo scopo di disporre di un QUADRO AGGIORNATO DEI TRATTAMENTI in essere all’interno di un’azienda o di un soggetto pubblico. Deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante
Devono garantire un LIVELLO DI SICUREZZA ADEGUATO AL RISCHIO del trattamento. La lista di cui al paragrafo 1 dell’art. 32 del GDPR è una lista aperta e non esaustiva e non esistono obblighi generalizzati di adozione di misure minime di sicurezza. Tale valutazione viene rimessa, CASO PER CASO, al titolare e al responsabile in rapporto ai rischi specificamente individuati (come da art. 32 del Regolamento)
Tutti i titolari devono notificare all’autorità di controllo le violazioni di dati personali di cui vengano a conoscenza ENTRO 72 ORE e comunque senza ingiustificato ritardo. La notifica all’autorità della violazione NON È OBBLIGATORIA, MA SUBORDINATA ALLA VALUTAZIONE DEL RISCHIO PER GLI INTERESSATI (che spetta al titolare). Se la probabilità di tale rischio è elevata, si deve informare della violazione anche gli interessati
